Dossier réalisé par Stéphane Darget 


À la recherche 
de solutions 
industrielles 


Sensibilisation 
et formation 
obligatoires 


Se préparer 
à la crise 


Comment 
faire face à 

l'explosion des 
cybermenaces 


Face à l'éventualité de moins en moins hypothétique 

des attaques quelle aura à subir, l'entreprise doit intégrer 
le risque cyber comme un risque classique, développer 
une cyber-culture dentreprise et industrialiser ses 
politiques et procédures de sécurité. 


STRATÉGIES ET MANAGEMENT DU NUMÉRIQUE 


u fil des derniers mois, la cybersécurité 

est devenue Pun des enjeux les plus im- 

portants dans une majorité de comités 

de direction. Dans un contexte d'ouver- 

ture toujours plus importante des sys- 

tèmes d’information devant sous-tendre la transfor- 

mation numérique, deux facteurs principaux sont la 

cause de ce changement. Tout d’abord, la législation 

européenne sur la protection des données person- 

nelles (RGPD) accélère la prise de conscience. Son 

application en mai 2018 incite à avancer rapidement. 

Ensuite, l'actualité des malwares — Wannacry, Petya, 

Not Petya... — montre que toute entreprise peut en 

être victime. Et elle oblige les boards à intégrer cette 

menace aux risques majeurs auxquels l'entreprise doit 
être préparée. 

Comme l’illustre Gilles Berthelot, RSSI Groupe de 

la SNCF, « de gros efforts de pédagogie ont été néces- 

saires pour éveiller les consciences des dirigeants. Ce — 
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Dossier ETUIS TON ES LUE 


De gros efforts de pédagogie ont été nécessaires. 
Ce n'est que depuis deux ans que le risque cyber est 
classé parmi les risques majeurs de notre entreprise. 


> nest que depuis deux ans que le risque 
cyber est classé parmi les risques majeurs 
de notre entreprise, aux côtés des risques 
industriels et humains. Désormais, le sujet 
nest plus simplement un problème de la DSI, 
mais une préoccupation du Comex. Lactua- 
lité nous a permis de mieux parler des en- 
jeux et des conséquences pour le business. 
La cartographie réalisée par la direction des 
risques montre que tous les métiers sont de- 
venus dépendants du SI. Seule l'approche 
top-down permet de pénétrer tous les pro- 
cess de l'entreprise ». 

Hervé Schauer, expert en sécurité, in- 
siste sur importance des aspects organisa- 
tionnels trop souvent sous-estimés, selon 
lui, y compris financièrement. « La sécu- 
rité nest pas un produit mais un processus », 
rappelle-t-il. 


AVIS DU RSSI 


Selon Michael Bittan, responsable des 
activités Cyber Risk Services de Deloitte 
France, « cest en développant une ‘culture 
cybersécurité”, étendue à l'ensemble des 
échelons et des métiers dans le cadre d'une 
démarche collaborative, que les organisa- 


LE « BON » HACKER EST UN SOCIOLOGUE ET UN PSYCHOLOGUE 
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tions pourront réellement se protéger des 
cyber-menaces ». 

Lorganigramme de la sécurité dans len- 
treprise subit de profondes modifications. 
La DSI nest plus toute puissante dans ce 
domaine. Par exemple, le RGPD oblige à 
recenser l'ensemble des projets contenant 
des données personnelles et à analyser les 
risques associés. Même s’il dispose à la fois 
de compétences sécurité, conformité et ju- 
ridiques, le nouveau responsable des don- 
nées personnelles (Data Privacy Officer) 
va devoir s'appuyer sur un réseau de cor- 
respondants métiers. Selon Alain Bouillé, 
président du Cesin, « une grande collabo- 
ration entre DPO et RSSI est indispensable, 
afin de ne pas doublonner les analyses, et 
éviter aux différents métiers d'avoir à ré- 
pondre plusieurs fois aux mêmes questions. 
De plus, beaucoup de pans de lorganisa- 
tion du RGPD sont déjà pris en compte par 
le RSSI ». 

Pour Gilles Berthelot, « le management 
par le risque a fait ses preuves dans lorga- 
nisation de la sûreté : il sensibilise l’inté- 
gralité de la chaîne managériale, des plus 
hautes instances aux plus basses. En traitant 
le risque cyber comme un risque classique, il 
devient possible d'utiliser l'ensemble des pro- 
cessus déjà mis en place et qui ont fait leurs 
preuves. Ainsi, de la même manière qu’ils le 
font pour le port du casque et la conformité 
des machines-outils, les structures Hygiène 
et Sécurité au Travail deviennent légitimes 
pour vérifier le bon usage des outils informa- 
tiques et l'application des “règles d'hygiène 
informatique” au quotidien. À la SNCE 
chaque entité dispose d’un risk manager. 
Intégrer le risque cyber à sa palette de com- 
pétences simplifie fortement son intégration 
dans tous les projets et le suivi qui en est fait. 


Bien entendu, pour évaluer précisément les 
aspects techniques, le risk manager doit pou- 
voir sappuyer sur les RSSI ». 

Pour obtenir une cyber-résilience ef- 
ficace, outre les RSSI et les risk managers, 
Gérôme Billois, senior manager chez Wa- 
vestone, rappelle qu’il faut également im- 
pliquer deux autres familles d'acteurs. 
D'une part, les responsables des plans de 
continuité, capables de gérer les crises, 
d'imaginer des scénarios et de contrôler 
les sites de secours. D'autre part les spé- 
cialistes de l'assurance, capables de défi- 
nir le niveau de risque résiduel acceptable 
et d'estimer les coûts potentiels de telles 
attaques pour l'entreprise. Et d'ajouter : 
«parmi nos clients, certaines sociétés dis- 
posent désormais d'un comité cyber au ni- 
veau du groupe, qui se réunit chaque mois. 
Sa mission est dopérer un reporting com- 
mun auprès de la direction générale. Mois 
après mois, le rapport est 
consolidé, en intégrant 
les nouveaux risques qui 
entrent alors dans le radar 
de la direction générale ». 

Alain Bouillé pro- 
pose également d’appli- 
quer ce concept au niveau 
des projets. « Aujourd'hui 
le RSSI a un rôle de plus 
en plus central, mais a 
du mal à être sur tous les 
fronts. Pour accompagner 
la transformation numé- 
rique de l'entreprise, le 
chief digital officer constitue souvent des 
équipes non hiérarchiques autour de pro- 
jets. Dans cette “pizza team”, où tous les 
membres travaillent dans un même lieu, 
une personne doit être dédiée à la sécurité ». 

Les achats ont également un rôle in- 
direct non négligeable dans la mise en 
œuvre de la politique de sécurité. En par- 
ticulier s’il s'agit de mettre en place une po- 
litique de bug bounty et, de ce fait, d'allouer 
un budget pour les « récompenses ». « Le 
RSSI doit faire changer les habitudes. Il doit 
par exemple convaincre le service achats de 
créer une réserve pérenne », explique Alain 
Bouillé. Arnaud Cassagne, directeur des 
opérations chez Newlode, pointe égale- 
ment la politique de sélection des presta- 
taires. « Dans certaines sociétés, les achats 
ne référencent qu'un ou deux acteurs dans 
le domaine de la cybersécurité. Ils sont sou- 
vent choisis sur des critères exclusivement 
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tarifaires. Compte tenu 
du contexte de pénurie 
de compétences, laccom- 
pagnement risque alors 
dêtre également au rabais. 
Si la contractualisation est 
indispensable, la sécurité 
repose aussi sur la confiance ». Les direc- 
tions des achats des grands groupes sont 


2 QUESTIONS À... 


heureusement de plus en plus réceptives 
à cette problématique, permettant à leurs 
RSSI de « contourner » les procédures éta- 
blies pour accéder à certaines prestations. 
Ce fut ainsi le cas au Crédit Agricole pour 
recourir à Oppida, à la Société Générale 
pour utiliser les outils de BufferZone et 
chez LVMH pour exploiter les services de 
surveillance de CybelAngel. => 


Comment simplifier 

la sécurisation des 
projets des métiers 

en particulier dans 

le cloud? 

Quel que soit le projet, il faut 


ALAIN BOUILLÉ 
RSSI DE LA CAISSE DES DÉPÔTS 
ET PRÉSIDENT DU CESIN 


donner aux métiers des outils 
simples afin qu'ils puissent 
déterminer la sensibilité 

des données concernées 

par le projet et du coup ajuster 
leurs exigences en matière 
de sécurité. Lorsqu'il s'agit 
de recourir à des solutions 
tierces, en particulier dans 

le cloud, il faut également 
disposer d'un document 
contractuel type. Élaboré par 
le juridique en collaboration 


avec le RSSI, il précise 
les engagements attendus 
des prestataires. 


Tous les prestataires 
acceptent de signer? 

Ce contrat est conçu pour que 
la plupart des prestataires 
puissent le signer. En cas de 
refus, le RSSI vient aider le 
métier à trouver une solution 
compatible avec la politique 
de l'entreprise. 
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Dossier Comment faire face à l'explosion des cybermenaces 
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Face à l'ampleur et à la prolifération des menaces, la réaction au coup par coup nest 
plus possible. Lentreprise doit transformer ses process et changer de paradigme afin 


d'industrialiser la sécurité. 


haque entreprise doit dis- 
poser d’une cartographie des 
risques. Les audits montrent 
les ressources critiques (ap- 
plications, serveurs, réseaux, 
données,.…) et l'usage qui en est fait. Pour 
suivre les différentes étapes des audits puis 
rassembler et suivre les rapports, RSA Ar- 
cher, Nasdaq BWise et autres SAP GRC re- 
présentent autant de plateformes dites de 
GRC (Governance, risk management, and 
compliance). Elles permettent en outre de 
suivre les plans de continuité ou de reprise 
d'activité, ainsi que la mise en œuvre de po- 
litiques de conformité. 

Si le RGDP met l'accent sur les données 
personnelles, l'entreprise doit étendre lau- 
dit à toutes les données sensibles de Fen- 
treprise (comptabilité, bases de clients, 
données de production,.…). Outre la car- 
tographie des données proprement dites, 
l'audit doit déterminer qui peut y accéder 
et quelles procédures sont alors associées. 
Selon un RSSI, « ces données critiques sont 
bien trop souvent accessibles à une large 
part des employés sans justification, et sans 


TÉMOIGNAGE 


traçabilité. Sans parler des comptes géné- 
riques “administrateur”, non nominatifs, 
qui sont toujours légion et qui autorisent 
tous types d'actions, y compris effacer les 
traces de méfaits... » Ce que confirme un 


KHALED SOUDANI 
DIRECTEUR DE L'EXPLOITATION DES 
INFRASTRUCTURES IT, SOCIÉTÉ GÉNÉRALE 


es acteurs internes 
de la sécurité doivent 
descendre dans l'arène, 
mettre la main à la pâte 
et co-construire les nouveaux 
services de sécurité avec 
leurs partenaires : sécurité 
et agilité ne peuvent plus 
s'opposer. Pour ce faire, 
ils doivent adapter leur 
gouvernance et leur posture. 
Les compétences doivent 
également s'adapter pour 
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permettre de créer les 
plateformes ouvertes de 
services. Enfin, les solutions 
et produits apportés par les 
acteurs externes vont devoir 
également s'adapter à ce 
nouveau monde, de plus 

en plus basé sur le cloud, 

les API et l'automation. 
C'est cela la sécurité de 
demain, et c'est ainsi qu'elle 
tiendra sa promesse de 
transparence et d'agilité. 


rapport de Varonis réalisé en avril der- 
nier : les employés de 47 % des entreprises 
auditées pouvaient accéder librement à 
plus de 1000 fichiers sensibles. Éric Cole, 
doctorant et formateur chez SANS Insti- 
tute, explique : « bon nombre dentreprises 
peinent à réaliser qu'une attaque externe 
consiste bien souvent à cibler et piéger un 
utilisateur interne légitime pour causer des 
dégâts. Bien peu dentreprises sont alors en 
mesure ne serait-ce que de détecter ce qu'il 
sest passé. » Directeur commercial de Ba- 
labit France, Yves Mimeran précise : « les 
utilisateurs les plus à risques sont les utilisa- 
teurs privilégiés, tels que les administrateurs 
systèmes, car ils sont les cibles les plus inté- 
ressantes pour des cybercriminels. Surveiller 
ces utilisateurs permet de détecter des acti- 
vités anormales ou suspicieuses et prévenir 
les fuites de données ». Le machine learning 
vient largement à la rescousse dans ces pro- 
cessus d'analyse des comportements sur le 
réseau interne. Ainsi, Varonis surveille les 
accès aux ressources (qui, quand, à quelle 


heure, depuis quelle adresse IP. ..). Balabit 
monitore également le trafic réseau afin de 
profiler les frappes clavier ou la souris lors 
de sessions d'administration distante afin 
de détecter une éventuelle usurpation de 
compte. Dans le contexte d'hybridation du 
SL les sondes réseau et les outils d'analyse 
de flux prennent une nouvelle dimension 
au sein des architectures de sécurité. 

Une terra incognita de la DSI est par 
exemple l'usage réel qui est fait des ser- 
vices cloud. Entre les métiers qui en sous- 
crivent directement et les utilisateurs qui, 
de leur propre initiative, les utilisent (tels 
que des outils de partage, de modification 
de PDF...), difficile pour un DSI de dire 
ce qui se passe réellement sur son réseau. 
C'est Pun des challenges qu'il va s'agir de 
résoudre alors que le RGPD — quientre 
en vigueur en mai 2018 — impose d’iden- 
tifier où sont les données et de mutiliser 
que des prestataires respectant eux-mêmes 
le réglement européen. Une cartographie 
des usages peut être obtenue à partir des 
fichiers de logs des points d'accès à Inter- 
net. Les fournisseurs de CASB (Cloud ac- 
cess security broker) proposent des ou- 
tils automatisés. Selon Sanjay Beri, CEO 
de Netskope, « une entreprise utilise en 
moyenne 1 000 services différents. Or seuls 
un quart des services actuellement proposés 
sont compatibles RGPD ; un tiers des ser- 
vices précisent où sont stockées les données ; 
et un service sur cinq autorise le chiffrement 
des données. » Directeur Europe du Sud et 
Moyen-Orient de Skyhigh Networks, Joël 
Mollo précise : « la gouvernance des services 
cloud est mise en place par le service juri- 
dique — ou par le DPO s'il existe — plutôt 
que par FIT ou le RSSI. Les audits déclaratifs 
réalisés auprès des différentes directions sont 
nécessaires mais pas suffisants : souvent une 
bonne moitié des outils sont oubliés. Une 
même société peut utiliser plusieurs dizaines 
de services de stockage différents, alors qu'un 
service a été explicitement validé par IIT ». 
Les CASB permettent de contrôler l'usage 
des services cloud. Ils sont basés sur des 
proxys réalisant un décodage du protocole 
http, voire https, et utilisent, quand elles 
existent, les API des fournisseurs pour ob- 
tenir une fine granularité des droits d'accès. 
Toutefois, la protection contre les fuites de 
données (Data Loss Prevention) reste re- 
lativement limitée et nécessite une confi- 
guration complexe, telle que déployer un 
agent sur tous les postes ou, au minimum, 
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changer la configuration des proxys et des 
certificats SSL. Elle sera surtout efficace 
contre une erreur involontaire. Par contre, 
un hacker pourra continuer à dissimuler 
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: «L'industrialisation de la 
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des fichiers chiffrés en les plaçant dans des 
vidéos, un salarié indélicat les copiera sur 
une clé USB... 


Comme la lutte contre le phishing par 
e-mail est de plus en plus efficace, l'entrée 
et ensuite l'installation des hackers dans 
les réseaux de l'entreprise se font de plus 
en plus souvent à la faveur des failles de 
sécurité. Il devient donc encore plus in- 
dispensable de « patcher » très rapidement 
l'ensemble des postes et serveurs, le plus tôt 
possible après réception des mises à jour 
fournies par les éditeurs de logiciels. Initia- 
lement spécialisé dans ce domaine, Qualys 
a, depuis, largement étendu sa gamme de 
solutions et coordonne désormais à la fois 
des outils de tests externes (implémentant 
notamment une recherche automatisée 
de failles), des agents sur les postes, et des 
sondes d'analyse de flux réseau. « Notre 
volonté est d'intégrer dans une seule plate- 
forme ouverte un grand nombre doutils 
afin de réduire les redondances dans le stock 
dapplications de sécurité installées, faciliter 
ladministration, augmenter la réactivité et 
contrôler les politiques de conformité mises 
en œuvre », explique Philippe Courtot, di- 
rigeant de l'entreprise. 

La problématique est différente lorsque 
l'entreprise développe elle-même des ap- 
plications : cest à elle de limiter les -> 
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Dossier Comment faire face à l'explosion des cybermenaces 


La sécurité nest pas un produit, mais un processus : l'humain doit être placé au centre. 
Formations, simulations, sensibilisation, améliorations continues : toute l'entreprise 
doit voir ses compétences progresser afin de créer une chaîne cohérente, efficace et agile. 


n sécurité, le mode projet est de- 
venu obsolète : déployer puis ou- 
blier est impossible », explique 
Arnaud Cassagne, directeur 
des opérations chez Newlode. 
Il faut sans cesse suivre, mettre à jour, 
améliorer, compléter, explique Laurent 
Petroque, responsable avant-vente chez 
F5 Networks : « il faut consolider les fonc- 
tions et éviter l'entassement des technolo- 
gies. Suivre les projets dans le temps permet 
de limiter les pertes de compétence, dont les 
conséquences sont parfois très onéreuses ». 
Ainsi, Gilles Berthelot, RSSI Groupe de 
la SNCE ne préconise pas systématique- 
ment d'utiliser la meilleure brique du mar- 
ché, mais plutôt celle qui va limiter les pro- 
blèmes aux interfaces. « Le burin ne fait pas 
le Rodin! Il faut veiller à créer une chaîne co- 
hérente. De plus, le secteur de la sécurité est 
en pleine consolidation. Dans ce contexte, les 
solutions très innovantes font souvent lobjet 
de rachats par des tiers. Il vaut donc mieux 
éviter les produits trop exotiques ». Selon ces 
experts, il est préférable d'opter pour des 
éditeurs proposant des gammes de solu- 
tions intégrées, que l'on complètera au fur 
et à mesure. Cette stratégie correspond par 
exemple à celle déditeurs comme Palo Alto 
Networks ou Qualys. Alexandre Souillé, 
fondateur et président d’Olfeo, conseille 
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juste de se méfier des généralistes qui se 
contentent d'aligner des offres hétérogènes 
non intégrées dans leurs catalogues. 

Mais de bons produits ne suffisent pas : 
encore faut-il savoir les utiliser. Et la for- 
mation théorique ne remplace pas la pra- 
tique. Comment faire, alors, pour tester 
des scénarios — pertinence des processus, 
réactivité, efficacité de la ges- 
tion de l'incident — en condi- 


autant toucher au système en 
production ? Plusieurs start-up 
françaises ont développé des 
compétences et une certaine 
notoriété en la matière. Ainsi, 
Hns-Platform de Diateam utilise les tech- 
niques de virtualisation pour créer des 
ensembles de serveurs, de postes clients 
et d'équipements réseaux. « Il est pos- 
sible de reproduire le réseau de l'entreprise 
dans ses moindres détails, y compris des 
automates industriels, de tester les consé- 
quences d'un malware et de revenir à l'état 
initial en quelques clics », explique Guil- 
laume Prigent, fondateur et directeur tech- 
nique de la société. Une autre start-up, 
CyberTestSystems, simule du trafic réseau 
et applicatif, ce jusqu’à 400 Gbit/s. Tester 
les performances en montée de charge ou 
valider des politiques de sécurité (telles 


IL EXISTE UN 
tions quasi-réelles sans pour FOSSE ENTRE 
LE MONDE DE 
L'ÉDUCATION 
ET CELUI DU 
TRAVAIL 


que des filtrages) devient alors plus facile. 
Le produit va même beaucoup plus loin : 
il permet l'injection de flux malveillants, 
tels que des malwares ou des dénis de ser- 
vices. Enfin, la start-up Bluecyforce est un 
centre de formation et d'entraînement (ou 
CyberRange). Elle utilise justement ces 
produits pour permettre à toutes les en- 
treprises de confronter ses équipes aux si- 
tuations réelles. Côté poids lourds, Airbus 
Cybersecurity dispose d’une offre Cyber- 
Range dédiée à ses clients, en particulier 
autour de ses offres de SOC, mais aussi à 
destination d'étudiants. En effet, la pénu- 
rie de compétences est criante, y compris 
chez les jeunes diplômés : « en dehors de 
rares écoles “up-to-date”, il existe un fossé 
entre le monde de l'éducation et celui du 
travail », explique Arnaud Cassagne. Pour 
tenter de le combler, Airbus s'est ainsi as- 
socié à quatre écoles d'ingénieurs pour en 
renforcer les cursus. 

Former les équipes informa- 
tiques ne suffit pas : tous les col- 
laborateurs doivent être sensi- 
bilisés. Le phishing est un bon 
exemple : des campagnes de sen- 
sibilisation couplées à des envois 
de type Phish.me (outil de gé- 
nération de vraies-fausses cam- 
pagnes de phishing) sont efficaces, comme 
l'atteste Gilles Berthelot, et permettent de 
repérer les organisations les plus vulné- 
rables. Les serious games, des plus simples 
aux plus complexes, sont également de 
bons vecteurs. Pierre Raufast, manager du 
CERT Michelin, a ainsi composé un jeu de 
42 cartes qui a permis de sensibiliser 200 
personnes en 2h! À la SNCE des jeux sur 
smartphone permettent la mise en situa- 
tion. « Il ne faut plus stigmatiser les utilisa- 
teurs. Il faut faire appel à leur intelligence, et 
valoriser les signalements. Il faut leur dire : 
‘on compte sur vous” et non plus “ne touchez 
pas” », conclut Gilles Berthelot. = 
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Même basé sur les meilleures technologies, aucun système de défense nest infaillible. 
Lentreprise doit se préparer à une crise majeure afin d'améliorer sa résilience. 


ans avoir besoin dévoquer des 
attaques ciblées complexes, 
un simple ransomware peut 
conduire à la faillite d'une en- 
treprise. 34% des PME tou- 
chées en France en début d'année ont vu 
leurs activités commerciales suspendues, et 
16 % ont subi des pertes de revenus, selon 
un rapport d'Osterman Research réalisé 
pour MalwareBytes. Les conséquences ont 
été nettement plus importantes en France 
qu'aux États-Unis ou en Allemagne. 

Se préparer et se former à la crise bien 
en amont est indispensable : « une crise est 
une situation exceptionnelle, déstabilisante. 
Les procédures classiques ne répondent plus. 
Il faut se préparer en amont et organiser un 
process de gestion d’incident, tel que par 
exemple décrit dans la norme ISO 27035 », 
explique Hervé Schauer. En particulier, 
il faut constituer une cellule de crise, qui 
sera chargée de piloter les actions, de défi- 
nir des moyens de défense et des moyens 
logistiques, d'activer un SI alternatif — 
sil existe... Comment limiter la casse en 
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amont ? L'hétérogénéité du parc (Mac, 
Windows, Linux, iOS, Android...) est, 
par exemple, à privilégier. Il faut ensuite 
échafauder des scénarios et vérifier que 
les plans de continuité et de reprise d’acti- 
vité sont opérationnels et en adéquation. 
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Pourquoi l'intelligence 
économique rejoint-elle 
la threat intelligence? 
Une attaque n'est pas 
forcément l'œuvre d'un escroc 
ni même d'un collaborateur 
mécontent. Bien que la 
plupart des entreprises 
semblent l'ignorer, les actions 
offensives d'intelligence 


économique sont courantes. 
Provenant d'États ou 
d'entreprises concurrentes, 
elles sont souvent plus 
discrètes que les techniques 
classiques telles que le 

« market abuse ». 


Comment bien se 
préparer? 

Se défendre de manière 
purement réactive ne suffit 
pas. Il faut protéger un 
modèle économique et pas 
simplement des assets. 
L'entreprise doit notamment 
surveiller la stratégie 

et les mouvements de 

ses concurrents, mais aussi 


savoir quels sont ses assets 
sensibles et qui ils peuvent 
intéresser. En accumulant ces 
informations contextuelles 
etenles modélisant, ilest 
possible de faire émerger 

des signaux d'alerte en cas 
de déviance. Il est par ailleurs 
important de se préparer 

à toute éventualité 

et en particulier intégrer 
dans la cellule de crise des 
personnes ayant une bonne 
connaissance du marché 

et des concurrents. Les 
décisions à prendre ne sont 
pas de même nature que lors 
de l'attaque par un « simple » 
malware. 


« Une fois que les process sont bien forma- 
lisés et que les équipes sont formées, il faut 
organiser des exercices. Tant que ce nest pas 
testé, on nest pas sûr que ça marche », ajoute 
Hervé Schauer. 

Ensuite, durant la remédiation, atten- 
tion à ne pas détruire les preuves : celles-ci 
permettront de comprendre comment 
sest passée l'attaque et de déposer plainte 
auprès des services de police. Raynald 
Lasota, chef de service chez France Télévi- 
sion, précise qu'il faut également identifier 
les prestataires pouvant être impactés en 
cas d'attaque, et s'intéresser aux relations 
contractuelles : « une omerta très impor- 
tante pèse sur ces sujets, il est très difficile 
d'obtenir des informations sur les enga- 
gements des fournisseurs dans ce type de 
situation ». 

Damien Lachiver, Cybersecurity and 
Digital Trust Manager de Wavestone, 
ajoute quelques conseils : « il faut claire- 
ment répartir les rôles et les responsabilités 
entre les membres de la cellule, centraliser 
les informations, créer une main courante 
de toutes les actions prises. La précipita- 
tion nest pas bonne : il faut prendre le temps 
d'identifier les impacts d'une décision, et se 
mettre dans la peau de l'attaquant. Enfin, 
il faut maîtriser sa communication et res- 
ter discret sur sa stratégie de défense ». — 
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— Frédéric Malmartel, RSSI de Agence 
centrale des organismes de sécurité sociale, 
insiste sur ce point : « il faut communiquer 
en interne et en externe avec authenticité, 
reconnaître quon est en crise, dire ce quon 
sait, ce quon fait, rassurer, et faire des points 
réguliers. Il faut nommer les porte-paroles, 
les faire connaître, coordonner leur expres- 
sion et ne pas laisser les acteurs non habili- 
tés sexprimer. Il ne faut ni laisser planer le 
doute, ni trop en dire, afin déviter une crise 
dans la crise. Il est possible de sappuyer sur 
une agence de communication si cela a été 
préparé en amont ». Attention toutefois : 
«comme le montrent les explications invrai- 
semblables données lors de l'attaque d'Equi- 
fax, ces sujets sont encore nouveaux et peu 
maîtrisés par les agences », déplore Gérôme 
Billois. 

La cyber-assurance est-elle une solu- 
tion ? « Il existe trois types de risques. Le 
risque quon traite, celui quon accepte, et ce- 
lui quon naccepte pas et quon assure », rap- 
pelle Alain Bouillé. Pour Hervé Schauer, la 
couverture des risques informatiques nest 
pas tant une nouveauté, et de rappeler que 
le Clusif a été créé il y a 30 ans par des as- 
sureurs. « Il y a quelques années, le risque 
cyber était également pris en charge dans 


: « Les entreprises ne sont 

; pas aussi résilientes qu'elles 
: souhaiteraient l'être » 

: Jean-Marc Gremy, président du Clusif 
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les contrats classiques. Il en est désormais 
exclu et fait l'objet d'une contractualisation 
séparée. Cest le jackpot pour les assureurs : 
les primes sont importantes et les dédom- 
magements en cas dattaque restent rares. 
Pour cause : un très faible pourcentage des 
sinistres feraient lobjet de déclaration, soit 
par manque d’information au sein de len- 
treprise, soit même pour éviter toute publi- 
cité en interne sur l'attaque ». Car il s'agit 
également de communiquer habilement 
en interne sur les responsabilités des diffé- 
rentes parties impliquées. 

Il empêche, l'offre en cyber-assurance 
sétoffe et son marché, estimé à 3, 4 Md$ en 
2016, devrait plus que doubler d’ici 2020, 
selon le réassureur Munich Re. 

Comme l'explique Éric Doyen, RSSI 
d’'Humanis, la souscription à une assu- 
rance est un processus complexe, mais qui 
néanmoins se simplifie en raison du gain 
en maturité des assureurs : « la première 
étape consiste à identifier les risques ma- 
jeurs et à définir les plans de traitement en 
cas de perte d’intégrité et de rupture dacti- 
vité. Ces informations vont être fournies à 
lassureur qui va dans la seconde étape audi- 
ter ces rapports, contrôler sur pièce, effectuer 
des sondages, etc. La troisième étape vise à 
créer ensemble une “big picture” de l'en- 
semble des risques majeurs à couvrir. Peu de 
normes existent encore pour la construire. 
Le cyber-assureur va y associer ses propres 
éléments de mesure. Dans notre cas, ces in- 
dicateurs sont révisés tous les 2 ans. Ils per- 
mettent de calculer les primes et de définir 
les exigences de garanties, ainsi que la fran- 
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chise. Enfin, la dernière étape est la phase 
de négociation commerciale ». En excluant 
la première étape, il lui a fallu environ six 
mois pour contractualiser. 

Comme le fait remarquer Guillaume 
Poupard, directeur général de ľAnssi, la cy- 
ber-assurance a un rôle important à jouer, 
en dehors des garanties financières, par- 
ticulièrement vis-à-vis des PME qui sont 
souvent démunies en cas d'attaque. Car la 
mise en relation avec des professionnels 
dédiés, le service, ou encore l'assistance 
permettraient de limiter les impacts. La 
prévention pourrait également être amé- 
liorée. Axa et Allianz-Gan proposent déjà 
des contrats simplifiés pour cette catégo- 
rie d'entreprises. En avril dernier, Generali 
sest pour sa part associé avec Europe Assis- 
tance (pour le support) et Engie Ineo (pour 
les interventions techniques). 

Lentreprise doit également savoir qui 
contacter si elle n'arrive pas à faire face 
à l'attaque. Les opérateurs d'importance 
vitale (OIV) peuvent espérer compter sur 
le soutien de l'Anssi. Les autres devront se 
tourner vers un prestataire privé. Les opé- 
rateurs de SOC, mais également certaines 
sociétés de conseil spécialisées en sécu- 
rité, disposent d'équipes « commandos ». 
Ces « pompiers » sont capables d’inter- 
venir sur sites 7 jours sur 7, 24 heures sur 
24. Là encore, avoir identifié les bons par- 
tenaires permettra de tisser les relations 
de confiance nécessaires et de réduire les 
dommages. Comme le prétend le logo de 
Hns-Platform, « Situ veux la paix, prépare 
la cyber-guerre »... <> 
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